ochrona danych osobowych w sektorze publicznym Mirosław Gumularz

Transkrypt

1 ochrona danych osobowych w sektorze publicznym Mirosław Gumularz RODO 2018

2 ochrona danych osobowych w sektorze publicznym Mirosław Gumularz Zamów książkę w księgarni internetowej WARSZAWA 2018

3 Stan prawny na 20 czerwca 2018 r. Wydawca Monika Pawłowska Redaktor prowadzący Kinga Zając Opracowanie redakcyjne Michał Dymiński Łamanie Violet Design Wioletta Kowalska Ta książka jest wspólnym dziełem twórcy i wydawcy. Prosimy, byś przestrzegał przysługujących im praw. Książkę możesz udostępnić osobom bliskim lub osobiście znanym, ale nie publikuj jej w internecie. Jeśli cytujesz fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło. A jeśli musisz skopiować część, rób to jedynie na użytek osobisty. SZANUJMY PRAWO I WŁASNOŚĆ Więcej na POLSKA IZBA KSIĄŻKI Copyright by Wolters Kluwer Polska Sp. z o.o., 2018 ISBN Dział Praw Autorskich Warszawa, ul. Przyokopowa 33 tel ksiazki@wolterskluwer.pl księgarnia internetowa

4 SPIS TREŚCI Wykaz skrótów 13 Wstęp 15 Rozdział I Informacje ogólne Czym jest RODO Kogo dotyczy RODO Stosowanie RODO Kategorie obowiązków: wymogi bezpośrednie i metawymogi Kary pieniężne i sankcje karne Przetwarzanie a publiczny dostęp do dokumentów urzędowych 27 Rozdział II Pojęcie danych osobowych Informacje ogólne Podziały danych osobowych i ich praktyczne konsekwencje Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane Dane uporządkowane oraz nieuporządkowane Ogólne informacje Uporządkowanie a ustrukturyzowanie Dane identyfikowalne oraz nieidentyfikowalne 46

5 6 Spis treści Dwie normy wynikające z art. 11 RODO Art. 11 RODO a definicja danych osobowych Krótkotrwałe i długotrwałe przetwarzanie danych 55 Rozdział III Główni aktorzy RODO Administrator danych Informacje ogólne Obowiązek powołania IOD a pojęcie ADO Współadministrowanie danymi Kolejne podmioty w łańcuchu przetwarzania danych: osoby upoważnione oraz podmioty przetwarzające Umocowanie (upoważnienie) personelu administratora danych Powierzenie Powierzenie danych a udostępnienie danych i współadministrowanie Wiarygodny procesor Podpowierzenie Elementy powierzenia Specyfikacja danych osobowych Prawa i obowiązki w ramach powierzenia Forma powierzenia Aktualizacja umów 91 Rozdział IV Filary RODO. Zasady ogólne Wstęp Zasady Zgodność z prawem, rzetelność i przejrzystość Ograniczenie celu Minimalizacja danych Prawidłowość Ograniczenie przechowywania Integralność i poufność Rozliczalność 102

6 Spis treści Informacje ogólne Rozliczalność w aspekcie proceduralnym Rozliczalność w aspekcie technicznym Rozliczalność wbudowana w treść przepisów 108 Rozdział V Podstawy przetwarzania danych osobowych Podstawy (warunki) przetwarzania danych osobowych zwykłych Kiedy można przetwarzać dane osobowe zwykłe Typowe podstawy przetwarzania danych osobowych w przypadku organów administracji publicznej Informacje ogólne Regulacja podstaw przetwarzania w prawie krajowym Przykłady projektowanych regulacji podstaw prawnych realizujących podstawę kompetencyjną z art. 6 ust. 3 RODO Zawarcie i realizacja umowy Zgoda jako podstawa przetwarzania danych przez podmioty z sektora publicznego Czy istnieje możliwość powoływania się na uzasadniony interes administratora danych w sektorze publicznym Przesłanki przetwarzania danych osobowych wrażliwych Przesłanki przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa 132 Rozdział VI Realizacja praw podmiotów danych Wstęp Rozróżnienie praw podmiotów danych (art RODO) Prawa niewymagające (co do zasady) do ich realizacji weryfikacji tożsamości (zestandaryzowane) Rozróżnienie art. 13 oraz 14 RODO Katalogi zestandaryzowanych informacji zawarte w art. 13 i 14 RODO 140

7 8 Spis treści Uwagi ogólne (wspólne dla art RODO) Rekomendacje Standaryzacja (znaki graficzne) Zestandaryzowane obowiązki informacyjne przepisy szczególne Prawa wymagające do ich realizacji weryfikacji tożsamości Problem weryfikacji identyfikacji i weryfikacji tożsamości Opis poszczególnych praw Treść komunikatu skierowanego do podmiotu danych Ułatwianie realizacji praw podmiotu danych i sposób komunikacji Termin realizacji praw podmiotów danych Opłaty w ramach realizacji praw podmiotów danych Wyjątki oraz regulacje szczególne względem RODO w ramach realizacji praw podmiotów danych w odniesieniu do sektora publicznego Wyłączenia ogólne w ustawie z r. o ochronie danych osobowych Wyłączenie ogólne w zakresie zestandaryzowanych obowiązków informacyjnych Wyłączenie ogólne w ustawie z r. o ochronie danych osobowych w zakresie prawa dostępu do danych Wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych Wyłączenia lub ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego Prawo do uzyskania standardowych informacji (art. 14 ust. 5 RODO) Prawo do ograniczenia przetwarzania (art. 18 RODO) Prawo do usunięcia danych prawo do bycia zapomnianym (art. 17 RODO) 181

8 Spis treści Przenoszenie danych Charakter prawny czynności w ramach realizacji praw podmiotów danych Publicznoprawne konsekwencje naruszenia praw podmiotów danych 184 Rozdział VII Ocena ryzyka w ramach działalności organów administracji publicznej Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO) Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1 2 RODO) Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby w przypadku incydentu (art. 34 ust. 1 RODO) Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO) Szczególne uregulowania dotyczące organów administracji publicznej Ramy analizy ryzyka Czym jest ryzyko naruszenia praw lub wolności Przykłady ryzyk Etapy oceny ryzyka Zagrożenie a ryzyko Waga zagrożenia a waga ryzyka 204

9 10 Spis treści Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka Obiektywność oceny Kryteria postępowania z ryzykiem Ocena skutków dla ochrony danych i uprzednie konsultacje Ocena skutków wstęp Kiedy ocena skutków może być wymagana Powiązanie oceny ryzyka i oceny skutków Kiedy należy się konsultować z organem nadzorczym Elementy dokumentacyjne oceny skutków Ocena ryzyka a IOD Przykładowy algorytm analizy ryzyka Ocena ryzyka i ocena skutków w sytuacjach innych niż incydent bezpieczeństwa Ocena ryzyka w przypadku incydentu bezpieczeństwa Podsumowanie 226 Rozdział VIII Bezpieczeństwo i incydenty Wstęp Obowiązek zgłoszenia naruszenia ochrony danych osobowych Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych Informacje ogólne Elementy zawiadomienia Kiedy zawiadomienie nie jest wymagane Modyfikacje mechanizmu zawiadomienia w prawie krajowym Opinia Grupy Roboczej Art Rozdział IX Inspektor ochrony danych (IOD) Obowiązek wyznaczenia IOD Kwalifikacje zawodowe IOD 241

10 Spis treści Relacja prawna IOD administrator danych (procesor) Miejsce IOD w strukturze administratora (procesora) Zadania i uprawnienia IOD Zadania obligatoryjne Zadania fakultatywne Wykluczone zadania fakultatywne Inne zadania fakultatywne Stanowiska wybranych organów nadzorczych co do zadań IOD GIODO Hiszpański organ nadzorczy Uprawnienia wewnątrzorganizacyjne Inne zadania IOD w kontekście konfliktu interesów 255 Bibliografia 257

11

12 WYKAZ SKRÓTÓW dyrektywa 95/46 dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE L 281, s. 31, ze zm.) Karta Praw Karta praw podstawowych Unii Europejskiej (Dz.Urz. UE Podstawowych C 303 z 2007 r., s. 1) k.c. ustawa z r. Kodeks cywilny (Dz.U. z 2018 r. poz ze zm.) k.k. ustawa z r. Kodeks karny (Dz.U. z 2017 r. poz ze zm.) Konstytucja RP Konstytucja Rzeczypospolitej Polskiej z r. (Dz.U. poz. 483 ze zm.) k.p.a. ustawa z r. Kodeks postępowania administracyjnego (Dz.U. z 2017 r. poz ze zm.) n.u.o.d.o. ustawa z r. o ochronie danych osobowych (Dz.U. poz. 1000) Projekt projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (w wersji z r., katalog/ # , numer z wykazu RCL: UC 100) RODO rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) TFUE Traktat o funkcjonowaniu Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r., s. 47) u.o.d.o. ustawa z r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.)

13

14 WSTĘP Przepisy o ochronie danych osobowych dotyczą zarówno sektora prywatnego, jak i publicznego. Podstawową regulacją dla sektora publicznego jest rozporządzenie ogólne 2016/679 (RODO) oraz przepisy wdrażające RODO do polskiego porządku prawnego, w tym ustawa z r. o ochronie danych osobowych (Dz.U. poz. 1000). Co istotne, RODO nie zawiera kompleksowej ogólnej regulacji dotyczącej całego sektora publicznego (np. osobnego rozdziału dotyczącego tego rodzaju podmiotów). Normy szczególne skierowane do sektora publicznego należy rekonstruować w ramach poszczególnych przepisów RODO. Dodatkowo RODO daje państwom członkowskim możliwość modyfikowania (w tym ograniczania) określonych wymogów RODO, m.in. w ramach przetwarzania danych przez podmioty z sektora publicznego (np. ograniczenie sposobu realizacji obowiązków informacyjnych). Wyłączenia lub ograniczenia mogą dotyczyć wszystkich lub niektórych kategorii administratorów z tego sektora. Administratorzy z szeroko pojętego sektora publicznego muszą zawsze ustalić, czy dana materia regulowana jest przepisami RODO czy równoległą regulacją, tj. tzw. dyrektywą policyjną (jeszcze nieimplementowaną do polskiego porządku prawnego) 1. Dyrektywa policyjna ustanawia przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, 1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L 119, s. 89).

15 16 Wstęp prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (art. 1 ust. 1). W związku z tym w praktyce podmioty z sektora publicznego powinny stworzyć mapę wymogów RODO ze wskazaniem: które wymogi stosuje się bez modyfikacji; które wymogi należy stosować przy uwzględnieniu modyfikacji (wynikających z przepisów samego RODO oraz przepisów wdrażających); które wymogi nie znajdują (i w jakim zakresie) zastosowania. Szczególna sytuacja podmiotów z sektora publicznego nie wynika tylko z faktu istnienia przepisów w sposób odrębny (od zasad ogólnych) regulujących ich sytuację. Pewne specyficzne problemy dotyczące tego sektora ujawniają się przy wykładni regulacji potencjalnie neutralnych sektorowo. Na przykład w odniesieniu do problemu zgody jako podstawy przetwarzania danych osobowych czy i w jakim zakresie podmioty z sektora publicznego mogą przetwarzać dane osobowe w oparciu o zgodę podmiotu danych. Interpretacja przepisów dotyczących sektora publicznego rodzi pytania w zupełnie podstawowych kwestiach. Już odpowiedź na pytanie, kto jest administratorem danych, może budzić wątpliwości. Dodatkowo podmioty z sektora publicznego identyfikując zaadresowane do nich wymogi muszą uwzględnić, w jakich kategoriach stosunków prawnych dochodzi do przetwarzania danych (publicznoprawne, cywilnoprawne, w zakresie prawa pracy etc.). Przykładowo, chociaż do przetwarzania danych może dochodzić w ramach tej samej struktury organizacyjnej (urzędu), innym (odrębnym) administratorem danych może być podmiot stosunków cywilnoprawnych (osoba prawna, np. powiat), innym organ funkcjonujący w ramach stosunków publicznoprawnych (wydający decyzje administracyjne, np. starosta), a jeszcze innym urząd (jako strona stosunków pracy) 2. 2 Zgodnie z art. 9 ust. 1 ustawy z r. o pracownikach samorządowych (Dz.U. z 2016 r. poz. 902 ze zm.) pracodawcą starosty, wicestarosty i członków zarządu powiatu jest starostwo powiatowe.

16 Wstęp 17 Co istotne, wskazane powyżej wyłączenia i modyfikacje mogą dotyczyć danego podmiotu tylko w niektórych kategoriach stosunków prawnych, w szczególności gdy realizują zadania w ramach sprawowania władzy publicznej powierzonej administratorowi. To dodatkowo komplikuje sytuację sektora publicznego. W związku z powyższym niniejsza książka jest napisana według przedstawionego powyżej mechanizmu: wymogi ogólne specyfika sektora publicznego. Celem publikacji jest przedstawienie (na przykładach) mechanizmów funkcjonowania wymogów ochrony danych osobowych w sektorze publicznym. Książka ma służyć jako pomoc (wskazując kryteria istotne z punktu widzenia wymogów ochrony danych osobowych) w rozstrzyganiu kwestii istotnych w praktyce.

17

18 Rozdział I INFORMAC JE OGÓLNE 1. Czym jest RODO A Jak wskazuje RODO w swoich motywach, dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę oraz życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w UE oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś technologia powinna zapewniać wysoki stopień ich ochrony. C W związku z powyższym ustawodawca unijny zdecydował o zastąpieniu dyrektywy 95/46 1 no wym ogólnym rozporządzeniem unijnym o ochronie danych osobowych 2. Rozporządzenie jest więc aktem prawa europejskiego. Wskazany europejski charakter RODO należy uwzględnić w szczególności na etapie wykładni i stosowania jego przepisów. Samo RODO wskazuje, że należy zapewnić spójne 1 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L 281, s. 31, ze zm.). 2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej: r ozporządzenie lub RODO.

19 20 Rozdział I. Informacje ogólne i jednolite w całej UE stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. W praktyce należy m.in. zwracać uwagę, w jaki sposób RODO jest wykładane w całej przestrzeni prawnej Unii (np. przez organy nadzorcze poszczególnych państw UE). C Należy także podkreślić, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty Praw Podstawowych oraz art. 16 ust. 1 TFUE stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Aby zapewnić wysoki poziom i spójność ochrony danych osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, podjęto działania, aby zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Samo RODO dopuszcza (w poszczególnych przepisach) możliwość doprecyzowania lub zawężenia jego regulacji przez prawo państw członkowskich. Państwa członkowskie mogą także o ile jest to niezbędne do zapewnienia, by krajowe przepisy były spójne i zrozumiałe dla osób, do których mają zastosowanie włączyć elementy RODO do swego prawa krajowego. Przykłady takich regulacji zostaną przedstawione w dalszej części publikacji. 2. Kogo dotyczy RODO A Rozporządzenie co do zasady ma zastosowanie do wszystkich branż oraz do sektorów prywatnego i publicznego. Oczywiście szereg przepisów samego RODO w sposób szczególny ujmuje sytuację prawną podmiotów z sektora publicznego. Co jednak istotne, przepisy RODO nie zawierają jednej ogólnej regulacji uwzględniającej w sposób szczególny sytuacji podmiotów z sektora publicznego. Natomiast poszczególne przepisy odwołują się do pojęć dotyczących tego sektora, łącząc z nimi określone skutki prawne. Chodzi w szczególności o przepisy odwołujące się do pojęć: organy publiczne, zadanie realizowane w interesie publicznym oraz zadanie realizowane w ramach

20 3. Stosowanie RODO 21 sprawowania władzy publicznej w rozumieniu RODO. W tym miejscu ujmując to jeszcze bardzo ogólnie można stwierdzić, że sytuacja podmiotów z sektora publicznego może być ujęta w sposób szczególny m.in. ze względu na pewne wyłączenia lub ograniczenia w stosowaniu wymogów RODO, i to zarówno na poziomie przepisów RODO, jak i przepisów wdrażających RODO do krajowego porządku prawnego. Należy jednak przyjąć regułę interpretacyjną, że tam, gdzie samo RODO i przepisy krajowe wyraźnie nie wprowadzają wyłączeń, ograniczeń lub innych modyfikacji względem sektora publicznego, tam RODO należy stosować wprost (zgodnie z zasadą, że wyjątki powinny być interpretowane ściśle). Kwestie te zostaną omówione w poszczególnych rozdziałach. A Przepisy u.o.d.o. także obejmowały podmioty sektora publicznego. Artykuł 3 ust. 1 u.o.d. o. przesądzał, że jej przepisy stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 3. Stosowanie RODO AC Zgodnie z art. 99 RODO rozporządzenie wchodzi w życie 20. dnia po publikacji w Dzienniku Urzędowym UE, a stosowane jest od r. Oznacza to, że r. to data, od której przepisy RODO są egzekwowane. Co jednak istotne, zgodnie z motywem 171 RODO: Niniejszym rozporządzeniem należy uchylić dyrektywę 95/46/WE. Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia.

21 Mirosław Gumularz doktor nauk prawnych (UJ); radca prawny w GKK Gumularz Kozieł Kozik Radcowie Prawni; audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji według normy ISO 27001:2013; wykładowca na studiach podyplomowych z ochrony danych osobowych organizowanych przez Wyższą Szkołę Bankową w Poznaniu; jako doradca społeczny ds. ochrony danych osobowych w Ministerstwie Cyfryzacji brał udział w pracach nad wdrożeniem RODO do polskiego porządku prawnego; był administratorem bezpieczeństwa informacji w spółkach technologicznych zatrudniających powyżej 500 pracowników; członek Grupy Roboczej ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji; autor wielu publikacji z zakresu ochrony danych osobowych oraz e-commerce. Publikacja w sposób szczegółowy przedstawia odmienności w stosowaniu RODO w odniesieniu do podmiotów publicznych. Omówiono w niej m.in.: typowe podstawy przetwarzania danych osobowych w przypadku organów administracji publicznej, zgodę jako podstawę przetwarzania danych przez podmioty z sektora publicznego, wyjątki oraz regulacje szczególne względem RODO w ramach realizacji praw podmiotów danych w odniesieniu do sektora publicznego, wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych, wyłączenia lub ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego. W książce uwzględniono również nową polską ustawę o ochronie danych osobowych. Publikacja jest przeznaczona przede wszystkim dla pracowników samorządowych, organów administracji publicznej, dyrektorów szkół. Będzie cennym źródłem wiedzy dla adwokatów, radców prawnych, sędziów, prokuratorów oraz pracowników działów kadr i zasobów ludzkich. ZAMÓWIENIA: INFOLINIA , FAX ZAMOWIENIA@WOLTERSKLUWER.PL CENA 99 ZŁ (W TYM 5% VAT)